ⅠⅠＡの３ラインモデル ３つのディフェンスラインの改訂

目次

はじめに .................................................................................................................................... 1

３ラインモデルの原則 ................................................................................................................... 2

原則１：ガバナンス ............................................................................................................... 2

原則２：統治機関の役割 ......................................................................................................... 2

原則３：経営管理者と第１・第２ラインの役割 ............................................................................ 3

原則４：第３ラインの役割 ...................................................................................................... 3

原則５：第３ラインの独立性 ................................................................................................... 3

原則６：価値の創造と保全 ...................................................................................................... 3

３ラインモデルの主な役割 ............................................................................................................. 5

統治機関 ............................................................................................................................. 5

経営管理者 .......................................................................................................................... 5

内部監査 ............................................................................................................................. 6

外部のアシュアランス提供者 ................................................................................................... 6

主な役割間の関係 .......................................................................................................................... 7

統治機関と経営管理者（第１と第２ラインの両方）の関係 ............................................................... 7

経営管理者（第１と第２ラインの両方）と内部監査の関係 ............................................................... 7

内部監査と統治機関の関係 ...................................................................................................... 8

すべての役割間の関係 ............................................................................................................ 8

モデルの適用 .............................................................................................................................. 9

構造、役割、および責任 ......................................................................................................... 9

監督とアシュアランス .......................................................................................................... 10

連携と調整 ........................................................................................................................ 10

1

はじめに

組織体は、人々が行う事業活動で成り立っており、不確実性、複雑性、相関性、および不安定性が増しつつある世界で活動している。組織体は多くの場合、多様で変わりやすく利害が競合することもある複数のステークホルダーを抱えている。ステークホルダーは、組織体の監督を統治機関に委ねており、統治機関は、リスクの管理を含む適切な措置を講じるために資源と権限を経営管理者に委ねている。

このような理由などから、組織体は強力なガバナ

ンスとリスク・マネジメントを支援しながら目標達成を可能にするような、効果的な構造とプロセスを必要としている。統治機関は、経営管理者から活動、成果、および予測に関する報告を受けると、統治機関と経営管理者の両者は、内部監査がすべての問題について独立した客観的なアシュアランスと助言を提供し、革新と改善を奨励して促進することを頼りにする。統治機関はガバナンスについて最終的なアカウンタビリティを負うが、これは、統治機関、および経営管理者や内部監査が講じる措置と行動によって達成される。

３ラインモデルは、組織体が、目標達成を最も支

援し、かつ、強力なガバナンスとリスク・マネジメントを最も促進するような構造とプロセスを特定するのに役立つ。このモデルは、あらゆる組織体に当てはまり、以下によって最適化される。

重要な用語

組織体 – 共有した目標に向けて取り組む活動、資源、および人々を組織化したグループ。

ステークホルダー – 組織体が利害や影響を与えるグループや人々。

統治機関 – 組織体の成功についてステークホルダーに責任を負う人々。

経営管理者 – 組織体の顧客に製品やサービスを提供することを担当する人々、チームおよび支援機能。

内部監査 – ガバナンスと（インターナル・コントロールを含む）リスクの管理に関する妥当性と有効性についてアシュアランスおよび洞察を提供するために、経営管理者から独立して業務を行う人々。

３ラインモデル – 以前は３つのディフェンスラインとして知られていたモデル。

インターナル・コントロール – 目標の達成に関して合理的な信頼を提供するためのプロセス。

§ 原則ベースのアプローチを採用して、モデルを組織体の目標と状況に合わせる。 § リスク・マネジメントが、「ディフェンス」と価値の保全の問題だけでなく、目標の達

成と価値の創造に貢献することにも焦点を当てる。

§ モデルで表される役割と責任、およびそれらの間の関係を明確に理解する。 § 活動と目標が、ステークホルダーが優先する利益と整合するように対策を実施する。

2

３ラインモデルの原則

原則１：ガバナンス

組織体のガバナンスには、以下を可能にする適切な構造とプロセスが必要である。

§ インテグリティ、リーダーシップ、および透明性によって組織体を監督することに関する、ステークホルダーに対する統治機関によるアカウンタビリティ。

§ リスク・ベースの意思決定と資源の適用によって組織体の目標を達成するための、経営管理者による（リスクの管理を含む）活動。

§ 明確さと信頼をもたらし、また、綿密な調査と洞察に満ちたコミュニケーションによって継続的な改善を奨励して促進するための、独立した内部監査機能によるアシュアランスと助言。

重要な用語

リスク・ベースの意思決定 - 分析、計画、活動、モニタリング、およびレビューを含み、目標に対する不確実性の潜在的な影響を考慮した、考え抜かれたプロセス。

アシュアランス – 独立した確認と信頼。

原則２：統治機関の役割

統治機関は、以下を確実にする。

§ 有効なガバナンスのための、適切な構造とプロセスを整備すること。 § 組織体の目標と活動が、ステークホルダーが優先する利益と整合すること。 統治機関は、

§ 経営管理者に責任を委ね資源を提供して、法規制上および倫理的な期待を確実に満たしながら、組織体の目標を達成する。

§ 独立した客観的で有能な内部監査機能を確立し監督して、目標の達成に向けた進捗状況について、明確にし確信を提供する。

3

原則３：経営管理者と第１・第２ラインの役割

組織体の目標を達成するための経営管理者の責任は、第１ラインと第２ラインの両方の役割で構成される1。第１ラインの役割は、組織体の顧客への製品やサービスの提供と最も直接的に繋がっており、これには支援機能2も含まれる。第２ラインの役割は、リスクの管理を支援することである。

第１ラインと第２ラインの役割は、組み合わせたり分けたりする場合がある。第２ラインの役割の中には専門家に割り当てられるものがあり、第１ラインの担当者に対して、補完的な専門知識、支援、モニタリングを提供し、また、異議を唱える。第２ラインの役割は、法規制や許容可能な倫理的行為の遵守、インターナル・コントロール、ＩＴセキュリティ、持続可能性、および品質保証のような、リスク・マネジメントの特定の目標に焦点を当てる場合がある。あるいはまた、第２ラインの役割が、全社的リスク・マネジメント（ＥＲＭ）のように、リスク・マネジメントに対するより広範な責任に及ぶ場合もある。ただし、リスクを管理する責任は、第１ラインの役割の一部であり、経営管理者の範囲内に存続する。

原則４：第３ラインの役割

内部監査は、ガバナンスとリスク・マネジメントの妥当性と有効性に関する独立にして客観的なアシュアランスと助言を提供する。内部監査は、体系的で規律あるプロセス、専門知識、および洞察を十分に適用することで、これを実現する。内部監査は、発見事項を経営管理者と統治機関に報告して、継続的な改善を奨励し促進する。その際に内部監査は、組織体内外の内部監査以外の提供者3によるアシュアランスを検討する場合がある。

原則５：第３ラインの独立性

内部監査が経営管理者の責任から独立していることは、内部監査の客観性、権限、および信頼性のために不可欠である。内部監査の独立性は、統治機関に対するアカウンタビリティ、内部監査業務の遂行上必要な人員、資源およびデータへの自由なアクセス、ならびに監査業務を計画し実施する上で偏見や干渉がないことによって確立される。

原則６：価値の創造と保全

すべての役割が互いに協調するとともに、ステークホルダーが優先する利益と整合している場合、すべての役割が全体として共に働くことは、価値の創造と保全に貢献する。業務の調整は、コミュニケーション、協力、および協働によって達成される。これにより、リスク・ベースの意思決定に必要な情報の信頼性、一貫性、および透明性が確かなものになる。

1 「第１ライン」「第２ライン」「第３ライン」という用語は、慣れ親しまれているために元のモデルから残している。ただし、「ライン」は構造的な

要素を表しているのではなく、役割の区別に役立つので用いている。論理的には、統治機関の役割も「ライン」を構成するが、混乱を避けるためにこの

表現は用いていない。番号付け（第１、第２、第３）は、業務の順序を意味するものと解釈すべきではない。むしろ、すべての役割は、同時に行われ

る。 2 支援機能（人事、総務、設備等）を第２ラインの役割と考える者もいる。明確化すると、3ラインモデルでは、第１ラインの役割には「フロント」と

「バックオフィス」の両方の業務が含まれると捉えており、第２ラインの役割は、リスク関連の問題に焦点を当てた補完的な業務で構成される。 3 一部の組織体には、監督、検査、調査、評価、および改善のような別の第３ラインの役割があるが、これらは内部監査機能の一部である場合も、別の

機能の場合もある。

4

5

３ラインモデルの主な役割

責任の分け方は、組織体によってかなり異なる。しかし、次に示す大まかな役割は、３ラインモデルの原則を説明するのに役立つ。

統治機関

§ 組織体の監督について、ステークホルダーに対するアカウンタビリティを負う。 § ステークホルダーと向き合って関心事を把握し、目標の達成状況について透明性のある

コミュニケーションを行う。

§ 倫理的な行動とアカウンタビリティを奨励する文化を育む。 § 必要に応じた補助的な委員会も含む、ガバナンスのための構造とプロセスを確立する。 § 組織体の目標を達成するために、経営管理者に責任を委ねて資源を提供する。 § 組織体のリスク選好を決定して、（インターナル・コントロールを含む）リスク・マネ

ジメントを監督する。

§ 法規制上のおよび倫理的な期待事項への遵守を監督し続ける。 § 独立した客観的で有能な内部監査機能を確立して監督する。

経営管理者

第１ラインの役割

§ （リスクの管理を含む）活動と資源の活用を主導し指示して、組織体の目標を達成する。

§ 統治機関と継続的に対話して、組織体の目標に関連する、計画された、実際の、および期待された成果、ならびにリスクについて報告する。

§ 業務と（インターナル・コントロールを含む）リスクを管理するために、適切な構造とプロセスを確立して維持する。

§ 法規制上のおよび倫理的な期待事項への遵守を確実にする。

6

第２ラインの役割

§ 以下のような、リスクの管理に関連する補完的な専門知識、支援、モニタリングを提供し、また、異議を唱える。

o プロセス、システム、および全社レベルでの（インターナル・コントロールを含む）リスク・マネジメント実務の策定、導入、および継続的な改善。

o 法規制および許容される倫理的行動の遵守、インターナル・コントロール、ＩＴセキュリティ、持続可能性、および品質保証のような、リスク・マネジメント目標の達成。

§ （インターナル・コントロールを含む）リスク・マネジメントの妥当性と有効性に関する分析とレポートを提供する。

内部監査

§ 統治機関に対する一義的なアカウンタビリティ、および経営管理者の責任からの独立性を維持する。

§ ガバナンスと（インターナル・コントロールを含む）リスク・マネジメントの妥当性と有効性について、経営管理者と統治機関に独立にして客観的なアシュアランスと助言を伝達することにより、組織体の目標達成を支援し、継続的な改善を奨励して促進する。

§ 独立性と客観性の侵害を統治機関に報告し、必要に応じてセーフガードを実行する。 外部のアシュアランス提供者

§ 以下のために、追加のアシュアランスを提供する。 o ステークホルダーの利益を保全するのに役立つ法規制上の期待を満たす。

o 経営管理者と統治機関の要求を満たし、組織体内部の資源によるアシュアランスを補完する。

7

主な役割間の関係

統治機関と経営管理者（第１と第２ラインの両方）の関係

統治機関は通常、ビジョン、使命、価値観、および組織体のリスク選好を定義することによって、組織体の方向性を定める。次に統治機関は、組織体の目標達成に対する責任を、必要な資源とともに経営管理者に委ねる。統治機関は、計画された、実際の、および期待された成果、ならびにリスクとリスクの管理に関する報告を経営管理者から受ける。

重要な用語

最高経営責任者（ＣＥＯ）– 経営責任を負って組織体の最高職位に就いている者。

統治機関と経営管理者の役割に関する重複や分離の程度は、組織体によって異なる。統治機関は、戦略的および業務運営上の問題に関して、多かれ少なかれ「直接携わる」ことがあり得る。統治機関と経営管理者のいずれかが戦略的計画の策定を主導する場合もあれば、共同で策定する場合もある。法域によっては、最高経営責任者（ＣＥＯ）が統治機関の一員であり、その議長を務めることさえある。いずれの場合でも、経営管理者と統治機関の間には、強力なコミュニケーションが必要である。通常は、ＣＥＯがこのコミュニケーションの中心となるが、他の上級管理者が統治機関と頻繁に交流する場合もある。組織体は、最高リスク責任者（ＣＲＯ）や最高コンプライアンス責任者（ＣＣＯ）などの第２ラインの役割の責任者に、統治機関への直接の報告経路を設けることを望む場合があり、規制当局がこれを義務付ける場合もある。これは、３ラインモデルの原則と十分に整合している。

経営管理者（第１と第２ラインの両方）と内部監査の関係

内部監査が経営管理者から独立していると、計画や業務の遂行に障害や偏見がなくなり、業務上必要な人、資源、および情報に自由にアクセスすることが確実になる。内部監査は、統治機関に対してアカウンタビリティがある。なお、独立性は孤立を意味するものではない。内部監査の業務が現実の状況に応じたものであり、組織体の戦略的および業務運営上のニーズと整合していることを確実にするために、内部監査と経営管理者の間には定期的な交流がなければならない。内部監査は、あらゆる活動を通して組織体に関して知識を身につけ理解し、このことは、信頼されるアドバイザーとして、また、戦略的パートナーとして、内部監査が提供するアシュアランスと助言に寄与する。不要な重複やギャップをなくすためには、内部監査は第１と第２のラインの役割を担う経営管理者両方との協働とコミュニケーションが必要である。

8

内部監査と統治機関の関係

内部監査は、統治機関に対するアカウンタビリティがあり、時には、統治機関の「目と耳」と表現される。

統治機関は、内部監査の監督に責任を負っており、次のことが求められる。内部監査部門長（ＣＡＥ4）の任免を含め、独立した内部監査機能の設置を確実にすること。ＣＡＥの第一義的な報告先となること。監査計画を承認して資源を提供すること。ＣＡＥから報告を受けて検討すること。経営管理者の同席なく会合を持つことを含め、ＣＡＥが統治機関と自由に接触できるようにすること。

重要な用語

内 部 監査 部門 長（ Ｃ ＡＥ ） – 内部監査業務に対する責任を負って組織体内で最高の職位に就いている者で、内部監査部長などと称することが多い。

すべての役割間の関係

統治機関、経営管理者、および内部監査にはそれぞれ異なる責任があるが、すべての活動は組織体の目標と整合している必要がある。結束してうまく機能するための基礎となるのは、定期的で効果的な連携、協働、およびコミュニケーションである。

4 業務運営上の目的で、ＣＡＥは組織体上層部の経営管理者に直属する場合もある。

9

モデルの適用

構造、役割、および責任

３ラインモデルは、組織体の目標と状況に適合している場合に最も有効である。組織体の構造と役割の割り当て方は、経営管理者と統治機関が決定すべき問題である。統治機関は、その責任に係る特定の分野についてさらに監督するために、監査、リスク、財務、計画、および報酬などの委員会を設置する場合がある。組織体の規模が大きくなり複雑さが増すにつれて、経営管理者内部の機能化や階層化が進み、また、専門化の傾向が強くなる可能性が高い。

部門、チーム、さらには個人も、第１ラインと第２ラインの両方の役割を含む責任を負う場合

がある。しかし、第２ラインから統治機関に対して第一義的なアカウンタビリティと報告経路を確立することで、第２ラインの役割に対する指示と監督は、第１ラインから、さらには経営陣からも、ある程度の独立性を確保するように設計することが可能である。３ラインモデルでは、経営管理者と統治機関の間の報告経路を必要な数だけ設けることができる。一部の組織体、特に規制の厳しい金融機関では、十分な独立性を確保するために、体制の構築については法的要件がある。そのような状況であっても、リスクを管理する責任は、第１ラインの役割を担う経営管理者に存続する。

第２ラインの役割には、リスクの管理に関連する問題のモニタリング、助言、指導、テスト、

分析、および報告などがある。こういった役割が第１ラインの役割を担う者を支援したり異議を唱えたりする限り、また、経営管理者の意思決定や行動に不可欠である限り、第２ラインの役割は経営管理者の責任の一部であり、報告経路やアカウンタビリティを問わず、経営管理者から完全に独立することはない。

第３ラインの役割の決定的な特徴は、経営管理者からの独立性である。３ラインモデルの原則

は、内部監査の独立性の重要性と特質を説明し、内部監査を他の機能と区別し、内部監査のアシュアランスと助言が明確な価値を持つことを可能にしている。内部監査の独立性は、（リスク・マネジメントを含む）経営管理者の責任の一部である意思決定や活動を行わないことや、現在または最近、内部監査が責任を負った業務のアシュアランスを提供しないことによって保護される。例えば、一部の組織体では、ＣＡＥは、法令遵守やＥＲＭのような、内部監査と類似の能力を活用する業務について、追加で意思決定責任を負うよう求められている。このような状況では、内部監査はこれらの業務やその結果から独立していないため、統治機関がそれらの分野に関する独立にして客観的なアシュアランスと助言を求める場合は、適格な第三者が提供する必要がある。

10

監督とアシュアランス

統治機関は、ステークホルダーに対して監督と目標の達成についてアカウンタビリティを負っており、その実行のために、（第１ラインと第２ラインの役割を担う者で構成される）経営管理者や内部監査などからの報告に依拠する。経営管理者は、直接の経験と専門知識を活かして、計画された、実際のおよび期待された結果、リスク、ならびにリスク・マネジメントについて、有益なアシュアランス（証明とも呼ばれる）を提供する。第２ラインの担当者は、リスク関連の問題について追加のアシュアランスを提供する。内部監査は経営管理者から独立しているため、内部監査が提供するアシュアランスは、報告経路に関係なく、第１ラインや第２ラインが統治機関に提供できるものを超える最高の客観性と信頼がある。外部の提供者から、さらにアシュアランスを受ける場合もある。

連携と調整

有効なガバナンスには、責任の適切な割り当てと、協力、協働、およびコミュニケーションによる活動の効果的な調整が必要である。統治機関は、内部監査を通して、ガバナンス構造とプロセスが適切に設計され、意図したとおりに機能しているという確証を求める。

The Institute of Internal Auditors 1035 Greenwood Blvd., Suite 149 Lake Mary, FL 32746, USA Phone: +1-407-937-1111 Fax: +1-407-937-1101 www.globaliia.org

内部監査人協会（IIA）について 内部監査人協会(IIA)は、内部監査専門職に関する提唱者、教育機関、ならびに基準、ガイダンスおよび各種認定資格の提供者とし

て、世界で最も広く認識されている。1941年に設立され、現在、世界170以上の国と地域に20万人以上の会員がいる。当協会の国際本部は、アメリカ合衆国フロリダ州レイク・マリーにある。詳しくは、IIA国際本部の下記ホームページを参照。

免責事項 IIAは、情報と教育を目的として本文書を発行する。本レポートは、個別具体的な状況に対する確答を提供することを目的とするも

のではなく、あくまでも指針としてご使用いただくものである。IIAは、特定の状況に直接関係する独立した専門家の助言を求めることを推奨する。IIA は、この資料のみに依拠する者に対して一切の責任を負わない。

著作権 Copyright © 2020内部監査人協会。無断転載を禁じる。転載の許諾については、copyright@theiia.orgにお問い合わせください。

2020年７月

http://www.globaliia.org/

はじめに重要な用語

３ラインモデルの原則原則１：ガバナンス重要な用語

原則２：統治機関の役割原則３：経営管理者と第１・第２ラインの役割原則４：第３ラインの役割原則５：第３ラインの独立性原則６：価値の創造と保全

３ラインモデルの主な役割統治機関経営管理者第１ラインの役割第２ラインの役割

内部監査外部のアシュアランス提供者

主な役割間の関係統治機関と経営管理者（第１と第２ラインの両方）の関係重要な用語

経営管理者（第１と第２ラインの両方）と内部監査の関係内部監査と統治機関の関係すべての役割間の関係

重要な用語モデルの適用構造、役割、および責任監督とアシュアランス連携と調整